DKIM, qui signifie DomainKeys Identified Mail, est une solution numérique permettant aux organisations de garantir la fiabilité de leurs communications avec leurs collaborateurs, clients ou partenaires. Ceci est réalisé en ajoutant une signature numérique à l'en-tête du message pour confirmer que le message a été envoyé par une source légitime et n'a pas été modifié pendant le transit. La signature est ensuite validée en DNS (Domain Name System) par le serveur de messagerie destinataire. L'expéditeur doit conserver un enregistrement de la clé publique dans DNS, ce qui permet au serveur de messagerie destinataire de confirmer la légitimité du message à l'aide de la clé et de le transmettre de manière transparente dans la boîte de réception du destinataire. De cette façon, le processus de transit des e-mails devient fiable et sécurisé. Ainsi, DKIM devient une solide protection contre l’usurpation d’e-mails, le phishing et le spam.
Une signature DKIM est une chaîne cryptographique de caractères attachée à l’en-tête d’un e-mail. Il est généré à l'aide de la clé privée de l'expéditeur et est vérifié par le serveur de messagerie destinataire à l'aide de la clé publique de l'expéditeur stockée dans l'enregistrement DNS.
Son objectif est de garantir l'intégrité du message et de vérifier qu'il n'a pas été falsifié lors du transit. Le serveur du destinataire vérifie la signature contenant les informations sur le nom de domaine et d'autres données et la fait correspondre à la clé publique. En cas de correspondance, il s'avère valide, ce qui signifie que l'email n'a pas été modifié et qu'il a bien été envoyé par le domaine revendiqué.
Le processus de génération d'une signature cryptographique comprend plusieurs étapes :
Une signature numérique est une longue chaîne de caractères généralement représentée par une série de caractères alphanumériques et de symboles spéciaux. Il apparaît comme un champ distinct dans l'en-tête de l'e-mail et est entouré de crochets angulaires (< >) pour le différencier des autres champs d'en-tête. Il contient divers paramètres et valeurs.
Voici un exemple de structure de modèle de signature :
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;Dans cet exemple :
COMMENT ÇA FONCTIONNE
Pour appliquer DKIM, les organisations doivent générer et enregistrer son enregistrement dans DNS. Il s'agit d'un enregistrement TXT contenant toutes les informations importantes sur les paramètres d'un domaine particulier, y compris la clé publique de l'expéditeur. Grâce à une vérification des enregistrements DNS, le serveur de messagerie destinataire peut facilement valider l'authenticité des messages entrants.
Voici un exemple d'enregistrement DKIM et la répartition des composants :
example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"Lorsqu'un e-mail est envoyé avec DKIM activé, le service d'envoi joint une signature numérique à l'en-tête du message. La signature inclut les valeurs chiffrées des parties du message, telles que le corps, les en-têtes et les pièces jointes. Pour vérifier la signature DKIM, les destinataires peuvent effectuer une série d'étapes :
Grâce à une vérification réussie de la signature, les destinataires peuvent être sûrs de l'authenticité et de l'intégrité de l'e-mail, atténuant ainsi les risques d'attaques de phishing et de falsification d'e-mails.
Cependant, en cas d'échec de la vérification, les scénarios possibles pour un email peuvent être les suivants :
Les conséquences exactes d'un échec de vérification peuvent varier en fonction des politiques établies par un fournisseur de services de messagerie et des paramètres individuels du destinataire. Il est important de noter qu'un échec de vérification DKIM peut entraîner une diminution de la réputation de l'expéditeur, une réduction des taux de délivrabilité et une probabilité plus élevée que le message soit traité comme suspect ou potentiellement dangereux.
L'utilisation de DKIM augmente considérablement les chances d'éviter des actions potentielles à caractère malveillant par courrier électronique et contribue à une communication fluide et réussie. Pour améliorer la sécurité des e-mails, deux autres mécanismes sont appliqués pour protéger les communications en ligne : SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting & Conformance).
Pour protéger sa réputation et assurer la délivrabilité de ses emails, une organisation peut fournir un enregistrement SPF dans DNS avec la liste des noms de domaine et adresses IP autorisés. En vérifiant cet enregistrement, le serveur du destinataire vérifiera l'authenticité de la source du message. Un enregistrement SPF offre une protection supplémentaire des données en confirmant la légitimité de l'expéditeur.
DMARC est une politique pour les mécanismes d'authentification mentionnés ci-dessus qui définit les règles d'identification des e-mails et détermine d'autres actions sur les messages suspects avec les scénarios possibles décrits ci-dessus.
Dans l'ensemble, DKIM joue un rôle essentiel en garantissant la fiabilité, l'intégrité et la sécurité des communications par courrier électronique. En mettant en œuvre DKIM aux côtés de SPF et DMARC, les organisations peuvent réduire considérablement les risques posés par les activités malveillantes, améliorant ainsi la protection de leur écosystème de messagerie.
Frequently asked questions
Un moyen simple d’y parvenir consiste à utiliser divers outils et services disponibles en ligne. Ces outils permettent de générer des clés cryptographiques : une clé privée créée pour signer les messages sortants et une clé publique pour la vérification de la signature par un destinataire.
La sécurité de votre communication en ligne est assurée en fournissant aux destinataires un moyen de vérifier l'authenticité des messages entrants. Il aide à prévenir la falsification d'e-mails, les attaques de phishing et la falsification, augmentant ainsi la confiance et réduisant le risque d'activités malveillantes.
Pour vérifier la signature numérique d'un e-mail, vous devez récupérer l'enregistrement DKIM de l'expéditeur à partir du DNS. Extrayez-en la clé publique et calculez la signature à l’aide des composants de message pertinents. Comparez la signature calculée avec celle de l'en-tête du message. Si les signatures correspondent, la signature DKIM est valide.
Envisagez la possibilité de retracer l’itinéraire emprunté par un message pour parvenir à un destinataire. Cela vous aidera à comprendre les processus complexes de transmission des e-mails et à vous protéger du courrier indésirable ou indésirable. Notre analyseur d'en-têtes d'e-mails rend cette manipulation simple mais informative. Il permet de tracer et d'afficher la liste des serveurs impliqués dans le processus de transmission avec leurs adresses IP et noms de domaine, et de recueillir un maximum d'informations complémentaires.